Partage via

Intégration de Exchange Online pour envoyer un e-mail sortant de SAP NetWeaver

  • Article

L’envoi d’e-mails à partir de votre back-end SAP est une fonctionnalité standard largement distribuée dans des cas d’utilisation tels que les alertes pour les traitements par lots, les modifications de l’état du workflow SAP ou la distribution des factures. De nombreux clients ont établi la configuration en tirant parti d’Exchange Server local. Un ensemble d’approches natives Cloud est impliqué par un déplacement vers Microsoft 365 et Exchange Online impactant cette configuration.

Cet article décrit la configuration de la communication par e-mail sortant à partir de systèmes SAP basés sur NetWeaver vers Exchange Online. Cela s’applique à SAP ECC, S/4HANA, SAP RISE managé et tout autre système basé sur NetWeaver.

Vue d’ensemble

Les implémentations existantes s’appuyaient sur l’authentification SMTP et la relation à privilège élevé, car Exchange Server local hérité pouvait se rapprocher du système SAP lui-même et était régi par les clients eux-mêmes. Un déplacement des responsabilités et du paradigme de connectivité se produit avec Exchange Online. Microsoft fournit Exchange Online en tant qu’offre Software-as-a-Service, conçue pour être utilisée en toute sécurité et aussi efficacement que possible, depuis n’importe où dans le monde via l’Internet public.

Suivez notre Guide standard pour comprendre la configuration générale d’un « appareil » qui souhaite envoyer un e-mail via Microsoft 365.

Important

L’authentification SMTP a été exemptée à partir du processus de réexamen de la fonctionnalité d’authentification de base pour une prise en charge continue. Toutefois, il s’agit d’un risque pour la sécurité de votre patrimoine. Consultez la dernière publication de notre équipe de Exchange Online sur le sujet.

Considérations relatives à la configuration

Compte tenu de l’exception de réexamen de l’authentification SMTP, il existe quatre options prises en charge par SAP NetWeaver que nous souhaitons décrire. Les trois premières correspondent aux scénarios décrits dans la documentation Exchange Online.

  1. Envoi du client d’authentification SMTP
  2. Envoi direct SMTP
  3. Utilisation du connecteur de relais SMTP Exchange Online
  4. Utilisation du serveur de relais SMTP comme intermédiaire pour Exchange Online

Par souci de concision, nous ferons référence à l'outil d’administration SAP Connect utilisé pour l’installation du serveur de messagerie uniquement par son code de transaction SCOT.

Option 1 : envoi du client d’authentification SMTP

Choisissez cette option lorsque vous souhaitez envoyer un e-mail à des personnes à l’intérieur et à l’extérieur de votre organisation.

Connecter les applications SAP directement à Microsoft 365 à l’aide du point de terminaison d’authentification SMTP smtp.office365.com dans SCOT.

Une adresse e-mail valide est nécessaire pour l’authentification auprès de Microsoft 365. Cette adresse e-mail du compte utilisé pour l’authentification avec Microsoft 365 apparaîtra comme l’expéditeur des messages de l’application SAP.

Exigences pour l’authentification SMTP

  • SMTP AUTH : doit être activé pour la boîte aux lettres utilisée. L’authentification SMTP est désactivée pour les organisations créées après janvier 2020, mais pouvant être activées par boîte aux lettres. Pour plus d’informations, consultez Activer ou désactiver l’envoi SMTP de clients authentifiés (authentification SMTP) dans Exchange Online.
  • Authentication : utilisez l’authentification de base (qui est simplement un nom d’utilisateur et un mot de passe) pour envoyer un e-mail à partir de l’application SAP. Si l’authentification SMTP est intentionnellement désactivée pour l’organisation, vous devez utiliser l’option 2, 3 ou 4 ci-dessous.
  • Boîte aux lettres : vous devez disposer d’une boîte aux lettres Microsoft 365 sous licence pour envoyer un e-mail.
  • Protocole TLS : votre application SAP doit pouvoir utiliser la version 1.2 et versions ultérieures.
  • Port : le port 587 (recommandé) ou le port 25 est requis et doit être débloqué sur votre réseau. Certains pare-feu réseau ou fournisseurs de services Internet bloquent les ports, en particulier le port 25, car il s’agit du port que les serveurs d’e-mails utilisent pour envoyer des e-mails.
  • DNS : utilisez le nom DNS smtp.office365.com. N’utilisez pas d’adresse IP pour le serveur Microsoft 365, car les adresses IP ne sont pas prises en charge.

Comment activer l’authentification SMTP pour les boîtes aux lettres dans Exchange Online

Il existe deux façons d’activer l’authentification SMTP dans Exchange Online :

  1. Pour un compte unique (par boîte aux lettres) qui remplace le paramètre pour l’ensemble des abonnés ou
  2. au niveau de l’organisation.

Notes

Si votre stratégie d’authentification désactive l’authentification de base pour SMTP, les clients ne peuvent pas utiliser le protocole d’authentification SMTP, même si vous activez les paramètres décrits dans cet article.

Le paramètre par boîte aux lettres pour activer l’authentification SMTP est disponible dans le Centre Administrateur Microsoft 365 ou via Exchange Online PowerShell.

  1. Ouvrez le Centre Administrateur Microsoft 365 et accédez à Utilisateurs - >Utilisateurs actifs.

    Centre d’administration : utilisateurs actifs

  2. Sélectionnez l’utilisateur, suivez l’Assistant, puis cliquez sur Courrier.

  3. Dans la section Applications d’e-mails, cliquez sur Gérer les applications d’e-mails.

    Centre d’administration : gérer les e-mails

  4. Vérifiez le paramètre SMTP authentifié (non coché = désactivé, coché = activé)

    Centre d’administration : paramètre SMTP

  5. Enregistrer les modifications.

Cela active l’authentification SMTP pour cet utilisateur individuel dans Exchange Online dont vous avez besoin pour SCOT.

Configurer l’authentification SMTP avec SCOT

  1. Exécutez une commande ping ou Telnet smtp.office365.com sur le port 587 à partir de votre serveur d’applications SAP pour vous assurer que les ports sont ouverts et accessibles.

    Capture d’écran de Ping

  2. Assurez-vous que le paramètre SAP Internet Communication Manager (ICM) est défini dans votre profil d’instance. Voir l’exemple ci-dessous :

    paramètre value
    icm/server-port-1 PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

  3. Redémarrez le service ICM à partir de la transaction SMICM et assurez-vous que le service SMTP est actif.

    Capture d’écran du paramètre ICM.

  4. Activez le service SAPConnect dans la transaction SICF.

    Paramètre SAP Connect dans SICF

  5. Accédez à SCOT et sélectionnez le nœud SMTP (double-clic) comme indiqué ci-dessous pour poursuivre la configuration :

    Configuration SMTP

    Ajoutez un hôte de courrier smtp.office365.com avec le port 587. Consultez les documents Exchange Online pour obtenir des informations de référence.

    Configuration SMTP, suite

    Cliquez sur le bouton « Paramètres » (en regard du champ Sécurité) pour ajouter les paramètres TLS et les détails de l’authentification de base, comme indiqué au point 2, si nécessaire. Assurez-vous que votre paramètre ICM est défini en conséquence.

    Veillez à utiliser un ID d’e-mail et un mot de passe Microsoft 365 valides. En outre, il doit s’agir du même utilisateur que celui que vous avez activé pour l’authentification SMTP au début. Cet ID d’e-mail s’affichera en tant qu’expéditeur.

    Configuration de sécurité SMTP

    De retour à l’écran précédent : cliquez sur le bouton « Définir », puis cochez « Internet » sous « Types d’adresses pris en charge ». L’utilisation de l’option du caractère générique « * » vous permet d’envoyer des e-mails à tous les domaines sans restriction.

    Type d’adresse SMTP

    Zone d’adresse SMTP

    Étape suivante : définir le domaine par défaut dans SCOT.

    Domaine SMTP par défaut

    Adresse SMTP par défaut

  6. Planifier le travail pour envoyer des e-mails à la file d’attente d’envoi. Dans SCOT, sélectionnez « Envoyer le travail » :

    Travail de planification SMTP à envoyer

    Fournissez un nom de travail et une variante si nécessaire.

    Variant du travail de planification SMTP

    Testez la soumission du courrier à l’aide du code de transaction SBWP et vérifiez l’état à l’aide de la transaction SOST.

Limitations de l’envoi du client d’authentification SMTP

  • SCOT stocke les informations d’identification de connexion pour un seul utilisateur, de sorte qu’une seule boîte aux lettres Microsoft 365 peut être configurée de cette façon. L’envoi de courriers via des utilisateurs SAP individuels nécessite d’implémenter « Envoyer en tant qu’autorisation » proposé par Microsoft 365.
  • Microsoft 365 impose des limites d’envoi. Pour plus d’informations, consultez Limites Exchange Online - limites de réception et d’envoi.

Option 2 : envoi direct SMTP

Microsoft 365 offre la possibilité de configurer l'envoi direct à partir du serveur d’applications SAP. Cette option est limitée en ce qu’elle autorise uniquement l’acheminement du courrier vers les adresses de votre propre organisation Microsoft 365 avec une adresse e-mail valide qui ne peut donc pas être utilisée pour les destinataires externes (par exemple, les fournisseurs ou les clients).

Option 3 : utilisation du connecteur de relais SMTP Microsoft 365

Choisissez cette option uniquement dans les cas suivants :

  • L’authentification SMTP est désactivée dans votre environnement de Microsoft 365.
  • L’envoi du client SMTP (option 1) n’est pas compatible avec les besoins de votre entreprise ou avec votre application SAP.
  • Vous ne pouvez pas utiliser l’envoi direct (option 2), car vous devez envoyer un e-mail à des destinataires externes.

Le relais SMTP permet à Microsoft 365 de relayer des e-mails en votre nom à l’aide d’un connecteur configuré avec votre IP publique ou un certificat TLS. Par rapport aux autres options, la configuration du connecteur augmente la complexité.

Exigences pour les relais SMTP

  • Paramètre SAP : le paramètre d’instance SAP configuré et le service SMTP sont activés comme expliqué dans l’option 1, suivez les étapes 2 à 4 de la section « Configurer l’authentification SMTP avec SCOT ».
  • Adresse e-mail : adresse e-mail de l’un de vos domaines Microsoft 365 vérifiés. Cette adresse e-mail n’a pas besoin d’une boîte aux lettres. Par exemple : noreply@*yourdomain*.com.
  • Protocole TLS : l’application SAP doit pouvoir utiliser la version TLS 1.2 et versions ultérieures.
  • Port : le port 25 est requis et doit être débloqué sur votre réseau. Certains pare-feu de réseau ou ISP bloquent les ports, en particulier le port 25, en raison du risque d’utilisation incorrecte du courrier indésirable.
  • Enregistrement MX : votre point de terminaison Mail Exchanger (MX), par exemple, yourdomain.mail.protection.Outlook.com. Pour en savoir plus, consultez la section suivante.
  • Accès au relais : une adresse IP publique ou un certificat SSL est requis pour l’authentification auprès du connecteur relais. Pour éviter de configurer l’accès direct, il est recommandé d’utiliser la SNAT (Source Network Translation) comme décrit dans cet article. Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Instructions de configuration pas à pas pour le relais SMTP dans Microsoft 365

  1. Obtenez l’adresse IP publique (statique) du point de terminaison qui enverra le courrier à l’aide de l’une des méthodes indiquées dans l'article ci-dessus. Une adresse IP dynamique n’est pas prise en charge ni autorisée. Vous pouvez partager votre adresse IP statique avec d’autres appareils et utilisateurs, mais ne partagez pas l’adresse IP avec une personne extérieure à votre entreprise. Prenez note de cette adresse IP pour plus tard.

    Où récupérer l’adresse IP publique sur le portail Azure

Notes

Recherchez les informations ci-dessus sur le Portail Azure à l’aide de la vue d’ensemble de la machine virtuelle du serveur d’applications SAP.

  1. Connectez-vous au Centre Administrateur Microsoft 365.

    Connexion au centre d’administration Microsoft 365

  2. Accédez à Paramètres - >Domaines, sélectionnez votre domaine (par exemple, contoso.com), puis recherchez l’enregistrement Mail exchanger (MX).

    Où récupérer l’enregistrement domain mx

    L’enregistrement Mail Exchanger (MX) contient des données relatives à Adresses de pointage ou valeur ressemblant à yourdomain.mail.protection.outlook.com.

  3. Notez les données de Adresse de pointage ou valeur pour l’enregistrement Mail Exchanger (MX), que nous appelons point de terminaison MX.

  4. Dans Microsoft 365, sélectionnez Administrateur, puis Exchange pour accéder au nouveau centre Administrateur Exchange.

    Centre d’administration Microsoft 365

  5. Le nouveau portail Centre Administrateur Exchange (EAC) s’ouvre.

    Boîte aux lettres du centre d’administration Microsoft 365

  6. Dans le centre Administrateur Exchange (EAC), accédez à Flux de courrier - >Connecteurs. L’écran Connecteurs est illustré ci-dessous. Si vous utilisez l’EAC classique, suivez l’étape 8 comme décrit dans nos documents.

    Connecteur du centre d’administration Microsoft 365

  7. Cliquez sur Ajouter un connecteur

    Ajouter le connecteur du centre d’administration Microsoft 365

    Choisissez « serveur e-mail de votre organisation ».

    Serveur de messagerie du centre d’administration Microsoft 365

  8. Cliquez sur Suivant. L’écran Nom du connecteur s’affiche.

    Nom du connecteur du centre d’administration Microsoft 365

  9. Fournissez un nom pour le connecteur, puis cliquez sur Suivant. L’écran E-mail d’authentification envoyé s’affiche.

    Choisissez En vérifiant que l’adresse IP du serveur d’envoi correspond à l’une de ces adresses IP qui appartiennent exclusivement à votre organisation et ajoutez l’adresse IP de l’étape 1 de la section Instructions de configuration pas à pas pour le relais SMTP dans Microsoft 365.

    Vérifier l’adresse IP du centre d’administration Microsoft 365

    Consultez et cliquez sur Créer un connecteur.

    Évaluation du centre d’administration Microsoft 365

    Évaluation des paramètres de sécurité du centre d’administration Microsoft 365

  10. Maintenant que vous avez fini de configurer vos paramètres Microsoft 365, accédez au site web de votre bureau d’enregistrement de domaines pour mettre à jour vos enregistrements DNS. Modifiez votre enregistrement SPF (Sender Policy Framework). Incluez l’adresse IP que vous avez notée à l’étape 1. La chaîne terminée doit ressembler à ceci v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, où 10.5.3.2 est votre IP publique. Si vous ignorez cette étape, les e-mails seront marqués comme courrier indésirable et finiront dans le dossier de courrier indésirable du destinataire.

Étapes dans le serveur d’applications SAP

  1. Assurez-vous que le paramètre SAP ICM et le service SMTP sont activés, comme expliqué dans l’Option 1 (étapes 2 à 4)
  2. Accédez à la transaction SCOT dans le nœud SMTP, comme indiqué dans les étapes précédentes de l’option 1.
  3. Ajoutez un hôte de messagerie en tant que valeur d’enregistrement MX (Mail Exchanger) notée à l’étape 4 (c.-à-d. yourdomain.mail.protection.outlook.com).

Configuration SMTP dans SCOT

Hôte de messagerie : yourdomain.mail.protection.outlook.com

Port : 25

  1. Cliquez sur « Paramètres » en regard du champ Sécurité et assurez-vous que TLS est activé si possible. Assurez-vous également qu’aucune donnée d’ouverture de session précédente concernant l’authentification SMTP n’est présente. Sinon, supprimez les enregistrements existants avec le bouton correspondant en dessous.

    Configuration de sécurité SMTP dans SCOT

  2. Testez la configuration à l’aide d’un e-mail de test à partir de votre application SAP avec transaction SBWP et vérifiez l’état dans la transaction SOST.

Option 4 : utilisation du serveur de relais SMTP comme intermédiaire pour Exchange Online

Un serveur de relais intermédiaire peut être une alternative à une connexion directe entre le serveur d’applications SAP et Microsoft 365. Ce serveur peut être basé sur n’importe quel serveur de messagerie qui autorise l’authentification directe et les services de relais.

L’avantage de cette solution est qu’elle peut être déployée dans le hub d’un réseau virtuel hub-and-spoke au sein de votre environnement Azure ou dans une zone DMZ pour protéger les hôtes de votre application SAP de l’accès direct. Cela permet également à un routage sortant centralisé de décharger immédiatement tout le trafic de messagerie vers un relais central lors de l’envoi à partir de plusieurs serveurs d’applications.

Les étapes de configuration sont les mêmes que pour le connecteur de relais SMTP Microsoft 365 (Option 3), les seules différences étant que la configuration SCOT doit faire référence à l’hôte de messagerie qui exécutera le relais plutôt que l’envoi direct vers Microsoft 365. En fonction du système de messagerie utilisé pour le relais, il est également configuré directement pour se connecter à Microsoft 365 à l’aide de l’une des méthodes prises en charge et d’un utilisateur valide avec un mot de passe. Il est recommandé d’envoyer un message de test directement à partir du relais pour s’assurer qu’il peut communiquer correctement avec Microsoft 365 avant d’effectuer la configuration et le test de SAP SCOT en mode normal.

Architecture du serveur de relais

L’exemple d’architecture illustré indique plusieurs serveurs d’applications SAP avec un seul hôte de relais de messagerie dans le hub. Selon le volume de courrier à envoyer, il est recommandé de suivre un guide détaillé de dimensionnement pour que le fournisseur de messagerie l’utilise comme relais. Cela peut nécessiter plusieurs hôtes de relais de messagerie qui fonctionnent avec Azure Load Balancer.

Étapes suivantes

Comprendre le publipostage en masse avec Azure Twilio - SendGrid

Comprendre les limitations des services Exchange Online (par exemple, la taille des pièces jointes, les limites des messages, la limitation de bande passante, etc.)